GB/T 31167-2014信息安全技術(shù)云計(jì)算服務(wù)安全指南

ICS35040

L80.

中華人民共和國國家標(biāo)準(zhǔn)

GB/T31167—2014

信息安全技術(shù)云計(jì)算服務(wù)安全指南

Informationsecuritytechnology—Securityguideofcloudcomputingservices

2014-09-03發(fā)布2015-04-01實(shí)施

中華人民共和國國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布

中國國家標(biāo)準(zhǔn)化管理委員會(huì)

中華人民共和國

國家標(biāo)準(zhǔn)

信息安全技術(shù)云計(jì)算服務(wù)安全指南

GB/T31167—2014

*

中國標(biāo)準(zhǔn)出版社出版發(fā)行

北京市朝陽區(qū)和平里西街甲號(hào)

2(100029)

北京市西城區(qū)三里河北街號(hào)

16(100045)

網(wǎng)址

:

服務(wù)熱線

:400-168-0010

年月第一版

201410

*

書號(hào)

:155066·1-50121

版權(quán)專有侵權(quán)必究

GB/T31167—2014

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

云計(jì)算概述

4………………2

云計(jì)算的主要特征

4.1…………………2

服務(wù)模式

4.2……………2

部署模式

4.3……………3

云計(jì)算的優(yōu)勢

4.4………………………3

云計(jì)算的風(fēng)險(xiǎn)管理

5………………………3

概述

5.1…………………3

云計(jì)算安全風(fēng)險(xiǎn)

5.2……………………4

云計(jì)算服務(wù)安全管理的主要角色及責(zé)任

5.3…………5

云計(jì)算服務(wù)安全管理基本要求

5.4……………………5

云計(jì)算服務(wù)生命周期

5.5………………5

規(guī)劃準(zhǔn)備

6…………………6

概述

6.1…………………6

效益評(píng)估

6.2……………6

政府信息分類

6.3………………………7

政府業(yè)務(wù)分類

6.4………………………8

優(yōu)先級(jí)確定

6.5…………………………9

安全保護(hù)要求

6.6………………………9

需求分析

6.7……………10

形成決策報(bào)告

6.8………………………13

選擇服務(wù)商與部署

7………………………14

云服務(wù)商安全能力要求

7.1……………14

確定云服務(wù)商

7.2………………………15

合同中的安全考慮

7.3…………………15

部署

7.4…………………17

運(yùn)行監(jiān)管

8…………………18

概述

8.1…………………18

運(yùn)行監(jiān)管的角色與責(zé)任

8.2……………18

客戶自身的運(yùn)行監(jiān)管

8.3………………19

對(duì)云服務(wù)商的運(yùn)行監(jiān)管

8.4……………19

退出服務(wù)

9…………………20

Ⅰ

GB/T31167—2014

退出要求

9.1……………20

確定數(shù)據(jù)移交范圍

9.2…………………21

驗(yàn)證數(shù)據(jù)的完整性

9.3…………………21

安全刪除數(shù)據(jù)

9.4………………………21

參考文獻(xiàn)

……………………22

Ⅱ

GB/T31167—2014

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

本標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位四川大學(xué)中國信息安全研究院有限公司中國電子科技集團(tuán)公司第三十研究所

:、、、

工業(yè)和信息化部電子工業(yè)標(biāo)準(zhǔn)化研究院工業(yè)和信息化部電子科學(xué)技術(shù)情報(bào)研究所中國電子信息產(chǎn)業(yè)

、、

發(fā)展研究院北京信息安全測評(píng)中心中電長城網(wǎng)際系統(tǒng)應(yīng)用有限公司中金數(shù)據(jù)系統(tǒng)有限公司中國科

、、、、

學(xué)院信息工程研究所信息安全國家重點(diǎn)實(shí)驗(yàn)室中國移動(dòng)通信有限公司研究院華為技術(shù)有限公司西

、、、

安未來國際信息股份有限公司浙江省電子信息產(chǎn)品檢驗(yàn)所

、。

本標(biāo)準(zhǔn)主要起草人陳興蜀左曉棟閔京華張建軍羅鋒盈楊建軍羅永剛劉海峰黎江卿斯?jié)h

:、、、、、、、、、、

鄔敏華劉斐尹麗波伍揚(yáng)馮偉王惠蒞趙章界周亞超劉曉莉

、、、、、、、、。

Ⅲ

GB/T31167—2014

引言

云計(jì)算是一種計(jì)算資源的新型利用模式客戶以購買服務(wù)的方式通過網(wǎng)絡(luò)獲得計(jì)算存儲(chǔ)軟件等

,,、、

不同類型的資源在云計(jì)算模式下使用者不需要自己建設(shè)數(shù)據(jù)中心購買軟硬件資源避免了前期基

。,、,

礎(chǔ)設(shè)施的大量投入僅需較少的使用成本即可獲得優(yōu)質(zhì)的信息技術(shù)資源和服務(wù)

,(IT)。

云計(jì)算還處于不斷發(fā)展階段技術(shù)架構(gòu)復(fù)雜采用社會(huì)化的云計(jì)算服務(wù)使用者的數(shù)據(jù)和業(yè)務(wù)從自

,,,

己的數(shù)據(jù)中心轉(zhuǎn)移到云服務(wù)商的平臺(tái)中大量數(shù)據(jù)集中使云計(jì)算面臨新的安全風(fēng)險(xiǎn)當(dāng)政府部門采用

,,。

云計(jì)算服務(wù)尤其是社會(huì)化的云計(jì)算服務(wù)時(shí)應(yīng)特別關(guān)注安全問題

,,。

本標(biāo)準(zhǔn)指導(dǎo)政府部門做好采用云計(jì)算服務(wù)的前期分析和規(guī)劃選擇合適的云服務(wù)商對(duì)云計(jì)算服務(wù)

,,

進(jìn)行運(yùn)行監(jiān)管考慮退出云計(jì)算服務(wù)和更換云服務(wù)商的安全風(fēng)險(xiǎn)本標(biāo)準(zhǔn)指導(dǎo)政府部門在云計(jì)算服務(wù)

,。

的生命周期采取相應(yīng)的安全技術(shù)和管理措施保障數(shù)據(jù)和業(yè)務(wù)的安全安全使用云計(jì)算服務(wù)

,,。

本標(biāo)準(zhǔn)與信息安全技術(shù)云計(jì)算服務(wù)安全能力要求構(gòu)成了云計(jì)算服務(wù)安全

GB/T31168—2014《》

管理的基礎(chǔ)標(biāo)準(zhǔn)本標(biāo)準(zhǔn)面向政府部門提出了使用云計(jì)算服務(wù)時(shí)的信息安全管理和技術(shù)要求

。,;

面向云服務(wù)商提出了為政府部門提供服務(wù)時(shí)應(yīng)該具備的信息安全能力要求

GB/T31168—2014,。

Ⅳ

GB/T31167—2014

信息安全技術(shù)云計(jì)算服務(wù)安全指南

1范圍

本標(biāo)準(zhǔn)描述了云計(jì)算可能面臨的主要安全風(fēng)險(xiǎn)提出了政府部門采用云計(jì)算服務(wù)的安全管理基本

,

要求及云計(jì)算服務(wù)的生命周期各階段的安全管理和技術(shù)要求

。

本標(biāo)準(zhǔn)為政府部門采用云計(jì)算服務(wù)特別是采用社會(huì)化的云計(jì)算服務(wù)提供全生命周期的安全指導(dǎo)

,,

適用于政府部門采購和使用云計(jì)算服務(wù)也可供重點(diǎn)行業(yè)和其他企事業(yè)單位參考

,。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息安全技術(shù)術(shù)語

GB/T25069—2010

信息安全技術(shù)云計(jì)算服務(wù)安全能力要求

GB/T31168—2014

3術(shù)語和定義

界定的以及下列術(shù)語和定義適用于本文件

GB/T25069—2010。

31

.

云計(jì)算cloudcomputing

通過網(wǎng)絡(luò)訪問可擴(kuò)展的靈活的物理或虛擬共享資源池并按需自助獲取和管理資源的模式

、